Русский / Russian English / Английский

Сейчас на форуме: yashechka (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› В какой VM лучше тестировать вирусы?
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 14:46 New!
Цитата · Личное сообщение · #1

VM это виртуальная машина, надо чтобы была 100% гарантия что с самим компегом ничего не
случится
есть VMware, Virtual Box, Virtual PC и ещё какая то... что посоветуйте?
вири разные,для Windows,IRC\mail черви и т.д.




Ранг: 1288.1 (!!!!)
Статус: Участник

Создано: 15 апреля 2007 14:51 New!
Цитата · Личное сообщение · #2

под любой из указанных.



Ранг: 260.2 (наставник)
Статус: Участник

Создано: 15 апреля 2007 14:57 New!
Цитата · Личное сообщение · #3

Ara пишет:
под любой из указанных.

+1.
Godzilla, у тебя какие-то глупые вопросы пошли.




Ранг: 85.5 (постоянный)
Статус: Участник

Создано: 15 апреля 2007 15:11 · Поправил: RAMZEZzz New!
Цитата · Личное сообщение · #4

Под vmware пробегал эксплоит для выполнения кода на хостовом компе, и Крис писал про этот баг. Так что возможно что кто либо заюзал это в своём вирусе. Но маловероятно , так что юзай любую ВМ.

PS: можешь использовать проги, восстанавливающие систему после перезагрузки к первоначальному состоянию, например ShadowUser. И тесть вирусню без ВМ себе спокойно.




Ранг: 1288.1 (!!!!)
Статус: Участник

Создано: 15 апреля 2007 15:24 New!
Цитата · Личное сообщение · #5

ShadowUser требует перезагрузку постоянно, это не очень удобно.




Ранг: 2014.5 (!!!!)
Статус: Модератор
retired

Создано: 15 апреля 2007 15:32 New!
Цитата · Личное сообщение · #6

Насчёт ShadowUser, то был софт, который поганит файлы в обход этого ShadowUser. А насчёт VMWare, статейка Криса была, но там лишь теория и то весьма мутная. Насчёт сплоита не слышал, если у кого есть, киньте в меня.



Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 15:47 New!
Цитата · Личное сообщение · #7

RAMZEZzz пишет:
PS: можешь использовать проги, восстанавливающие систему после перезагрузки к первоначальному состоянию, например ShadowUser. И тесть вирусню без ВМ себе спокойно.

всмысле? а как она бэкап сделает или нужен винт ещё один здоровый?
sniperZ пишет:
у тебя какие-то глупые вопросы пошли

я откопал у себе целую коллекцию вирей на диске и думаю что надо поглядеть что там такое
(а т.к. антивиря у меня нету,то это может плохо кончиться- диск мне 250 гиговый форматнёт)



Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 15:51 New!
Цитата · Личное сообщение · #8

ещё такой вопрос: может ли вирь стереть мне содержимое FlASH BIOS если в самом бивисе
стоит запрет на запись,но матери перемычка "READ ONLY" не замкнута? я читал что програмнно
нет проблем обойти такую защиту



Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 апреля 2007 15:53 New!
Цитата · Личное сообщение · #9

Godzilla
лучще всего в Винде которая загружается 15 минут без преувеличений ....




Ранг: 1288.1 (!!!!)
Статус: Участник

Создано: 15 апреля 2007 15:57 New!
Цитата · Личное сообщение · #10

Godzilla пишет:
я читал что програмнно нет проблем обойти такую защиту

Ссылку на первоисточник в студию.



Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 16:03 New!
Цитата · Личное сообщение · #11

Ara пишет:
Ссылку на первоисточник в студию.

выдержка описания Win95.CIH из AntiViral Toolkit Pro (вирусная энциклопедия)

Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков. Запись в Flash BIOS возможна только на соответсвующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно. При тестировании вируса в лаборатории память Flash BIOS осталась неповрежденной - по непонятным причинам вирус завесил систему без каких-либо побочных эффектов. Однако из других источников известно, что вирус при определенных условиях действительно портит содержимое Flash BIOS. После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах



Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 16:12 New!
Цитата · Личное сообщение · #12

а что если сделать LiveCD с виндой,залить на загрузочную болванку, а в качестве "полигона" для
испытаний использовать SD карту емкостью 1 ГБ ? или ничего не получится??




Ранг: 85.5 (постоянный)
Статус: Участник

Создано: 15 апреля 2007 16:13 New!
Цитата · Личное сообщение · #13

Godzilla пишет:
а как она бэкап сделает или нужен винт ещё один здоровый?



Принцип работы программы выглядит следующим образом: ShadowUser после установки создаёт из неиспользуемого вами места на жестком диске виртуальное пространство, с которым в дальнейшем вы будете работать. Произведя перезагрузку, программа сделает вашу операционную систему "невидимой" для вредоносных программ, подставляя вместо нее свой образ, а изменения, происходящие в процессе работы, будут записываться на то самое виртуальное пространство.
Если вы что-то хотите сохранить, например файлы, загруженные из Интернет, то в настройках программы укажите "зону безопасности", которую программа не будет возвращать в исходное состояние при перезагрузке.


Вот ещё одну нашел у себя в коллекции:
Skanix Illusion v 4.02

Skanix Illusion является аналогом программы ShadowUser. Принцип действия у нее тот же: при активации защищенного режима прога начинает эмулировать файловую систему выбранного тобой диска. Ты можешь убивать файлы и папки, гадить в реестре, запускать трояны и вирусы. Но стоит тебе открыть панель управления Skanix Illusion, нажать кнопку Restore Now и перезагрузить машину, как последствия всех этих чудовищных деяний чудесным образом исчезнут! Естественно, из защищенного режима можно выйти и с сохранением всех изменений. ShadowUser работает точно так же. Первое отличие от ShadowUser заключается в том, что Skanix Illusion (точнее, ее специальная версия) может работать в Windows 9x/Me. Второе отличие – функциональное. Skanix Illusion разрешает отдельным прогам даже в защищенном режиме работать с реальным диском, а не его виртуальным образом. То есть, к примеру, ты можешь «разрешить» почтовую программу, и тогда, после выхода из защищенного режима все полученные тобой письма никуда не денутся, зато исчезнут все изменения, внесенные в почтовые базы какой-нибудь другой прогой (скажем, вирусом)! Что и говорить, отличие радикальное. Ведь умело использование подобной функции допускает возможность организации оригинальной «ограниченной защиты», при которой только доверенные приложения могут вносить изменения в файловую систему твоего компа.
www.totsec.com




Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 16:25 New!
Цитата · Личное сообщение · #14

RAMZEZzz ясно, тока вот сколько надо будет на харде места под "образ" ?



Ранг: 203.3 (наставник)
Статус: Участник
UPX Killer -d

Создано: 15 апреля 2007 16:41 New!
Цитата · Личное сообщение · #15

Я использовал только Virtual Box, хотел поставить под него 98 Винду, но эта штука стопроцентно грузит проц, и притормаживает. Так 98-я за 2 часа не поставилась, на 1.5 часу комп вскипел и отключился (AMD). Как ни странно, Линукс с KDE под виртуалкой просто летает, причем без загрузки проца (в среднем где-то 50% всего сжирал). Отсюда оффтоповый вывод: винда - тормозное г.
Godzilla, вот такие эксперименты.



Ранг: -4.4 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 17:44 New!
Цитата · Личное сообщение · #16

AlexZ пишет:
Отсюда оффтоповый вывод: винда - тормозное г.

А может быть, правильнее будет смотреться вывод - Virtual Box не совместим с win98?
Прежде чем делать выводы надо думать головой, чего и тебе советую.



Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 17:59 New!
Цитата · Личное сообщение · #17

AlexZ пишет:
Отсюда оффтоповый вывод: винда - тормозное г.

ну и что дальше, всем переходить на Линух что ли?



Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 20:19 New!
Цитата · Личное сообщение · #18

RAMZEZzz пишет:
Skanix Illusion v 4.02

некоторые ньюансы этой проги:
1. по умолчанию ставит пароль ILLUSION который толком нигде не афишируется,за исключением
экрана кот. появляется ПОСЛЕ предложения о перезагрузке компа... как вы уже догадались
отключить прогу без этого пароля НЕВОЗМОЖНО
2. аппетиты в плане свободного дискового пространства тоже на высоте, у меня по непонятным
причинам загрузка в ACTIVATED режиме заканчивается чёрным экраном и полным зависанием компа...
попробую установить её на Windows Millenium, м.б. хотя бы там всё будет хорошо



Ранг: 162.2 (ветеран)
Статус: Участник

Создано: 15 апреля 2007 21:34 New!
Цитата · Личное сообщение · #19

Godzilla пишет:
выдержка описания Win95.CIH из AntiViral Toolkit Pro (вирусная энциклопедия)

А ты случаем не посмотрел, в каком году был этот вирь или там не было.




Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 15 апреля 2007 22:18 New!
Цитата · Личное сообщение · #20

RAMZEZzz пишет:
Skanix Illusion v 4.02

весь софт такого рода - потенциальный глюкодром и при желании обходится.
так что лучше использовать ВМ.



Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 22:24 New!
Цитата · Личное сообщение · #21

asd пишет:
А ты случаем не посмотрел, в каком году был этот вирь или там не было.

я понимаю что инфа 12-летней давности уже, но т.к. перепрошив различной электронной технки
сейчас в большой моде (даже сотовые и бытовые плееры прошивают) то можно думать о наличии
у потенциальных вирусописателей лазеек для стирания FLASH даже когда запрет стоит...
bloom пишет:
весь софт такого рода - потенциальный глюкодром и при желании обходится.
так что лучше использовать ВМ.

согласен,но у vmWare вроде тоже не всё так гладко с неуязвимостью. почему то никто не предлагает
сделать учётную запись с ограниченными правами типа "гость"- это же тоже защита своего рода




Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 15 апреля 2007 22:32 New!
Цитата · Личное сообщение · #22

Godzilla пишет:
vmWare вроде тоже не всё так гладко с неуязвимостью

почему это ???? был как-то сплоет - но было давно и неправда, ту версию вари никто давно не юзает.




Ранг: 221.8 (наставник)
Статус: Участник

Создано: 15 апреля 2007 22:34 New!
Цитата · Личное сообщение · #23

Godzilla CIH ничего вам не сделает только виртуальный винт отформатирует. тестить лучше либа на варе (из последних где есть поддержка многих снапшотов) либо на Microsoft Virtual PC. у этих двух ВМ нет глюков с востановлением состояния по снапшотам (а у виртуал бокс есть) но у микрософт виртуал писи толька 1 снапшот как я понял (хотя обычно больше и не надо)... КРАЙНЕ НЕ СОВЕТУЮ ЮЗАТЬ шадов юзер и тп софтенг от прямой записи на диск они хрен спасут...



Ранг: -31.0 (нарушитель)
Статус: Участник

Создано: 15 апреля 2007 22:37 New!
Цитата · Личное сообщение · #24

Red Bar0n пишет:
КРАЙНЕ НЕ СОВЕТУЮ ЮЗАТЬ шадов юзер и тп софтенг от прямой записи на диск они хрен спасут..

прямая запись это режим RAW стало быть? хм...я думал все вири юзают прямой режим




Ранг: 207.4 (наставник)
Статус: Участник
Jeefo Recovery

Создано: 16 апреля 2007 14:45 New!
Цитата · Личное сообщение · #25

Смотря какие вири имеются в виду. Если взять старые, еще ДОС-овские вирусы, основным действием которых было посекторная затирка винта или порча MBR, то все они юзали режим прямой записи.
Шадов Юзер я лично использую в целях содержания машины в чистоте, поскольку не гадиться реестр, какие-то настройки и т.д.
Виртуал ПС, предлженный уважаемым Барончегом можно юзать, но сразу предупреждаю - эмуль сильно тормозит. На Висте замечены некоторые глюки.
На данный момент юзаю 6-ю VMWare на данный момент впечатления положительные, однако и там сейчас стало не без греха, кое-что напортачили с видео настройками :\




Ранг: 1288.1 (!!!!)
Статус: Участник

Создано: 16 апреля 2007 14:53 New!
Цитата · Личное сообщение · #26

Johnson Finger пишет:
юзаю 6-ю VMWare

Это бетка? На офсайте про 6 релиз ничего нету...




Ранг: 207.4 (наставник)
Статус: Участник
Jeefo Recovery

Создано: 16 апреля 2007 14:57 New!
Цитата · Личное сообщение · #27

То Ara - Нет, уже офф релиз.... Не знаю, загружал как раз с оффсайта.... По крайней мере ни одного упоминания в программе что она Бета я не нашел....




Ранг: 207.4 (наставник)
Статус: Участник
Jeefo Recovery

Создано: 16 апреля 2007 15:00 New!
Цитата · Личное сообщение · #28

Хотя сейчас глянул, хз как они бета-версии обозначают.... У меня вполне нормально робит на Висте.... Есть некоторые огрехи, но они несущественны....




Ранг: 1288.1 (!!!!)
Статус: Участник

Создано: 16 апреля 2007 15:03 New!
Цитата · Личное сообщение · #29

ну незнаю
ТУТ http://www.vmware.com/download/ws/ страничка закачки, там нету шестерки.
А вот страничка http://www.vmware.com/products/beta/ws/ на бетку.




Ранг: 109.2 (ветеран)
Статус: Участник
Cardinal

Создано: 16 апреля 2007 15:11 New!
Цитата · Личное сообщение · #30

Red Bar0n пишет:
(хотя обычно больше и не надо)...

Не скажи, снапшоты рулят, темболее когда их много. На одном SI поставил,на втором авер с фаерволом,на третем еще какую-то херню и работаешь себе с любым из них, чуть что - откат... Варя тут рулит.Насчет 6-ки ничего немогу сказать,но 5ка вполне сносно работает и на машине без поддержки core2 технологий.


. 1 . 2 . >>
 eXeL@B —› Софт, инструменты —› В какой VM лучше тестировать вирусы?

Видеокурс ВЗЛОМ